Bezpečnosť > bezpečnosť
TOP 10 základných chýb administrácie IS
Rozhodol som sa zhrnúť a okomentovať 10 najčastejších problémov v IT, ktoré sa týkajú správy IS (Informačných systémov) a to konkrétne na platforme Microsoftu
(Operačné systémy), kde je správa relatívne jednoduchá a je možné ju robiť vizuálne (zaklikávaním). Ako však vidieť s článku nie všetky problémy s TOP10 je nutné riešiť s veľkými finančnými nákladmi, často stačí pár drobných zmien.
10.) Nesprávna konfigurácia LAN
Veľmi často sa konfiguruje a/alebo stavia LAN (Local Area Network, lokálna sieť) (jej logická štruktúra) na etapy alebo spôsobom kedy je na "starú" LAN priplácnutý server či iná LAN. Tým vznikajú rôzne diery, neštandardné prepojenia a podobné záležitosti. Pri takejto činnosti sa veľmi často zabúda na množstvo vecí a často je lepšie vytvoriť najprv návrh konsolidácie či finálnu podobu siete a až potom konať. Konfigurácia by mala byť kompaktná a určite by mala byť pri počte 20 a viac PC (Personal Computer, počítač) riešená systémom domény a nie pracovnej skupiny. Najčastejším problémom s ktorým som sa ja stretol bolo používanie nevhodných ACL (Access Control List, zoznam prístupových práv) s dôvodu rôznych OS (Operačný systém) (Windows 98SE, 2000, XP)
9.) Priveľké reštrikcie na kritické servery
Všetkého veľa škodí, hlása jedno ľudové príslovie a v reštrikciách pri serveroch je to platné dvojnásobne.
Je optimálnejšie nastaviť ACL tak, aby každý účet mal len práva ktoré potrebuje ako uplatňovať reštrikcie priamo na systém alebo partície disku. Taktiež sa skoro vôbec nevyužíva uzamknutie serverov, čím sa zamedzí spúšťaniu nových aplikácií a procesov.
Uzamknutie serveru je uzamknutie relacie pomocou GroupPolicy. Následne ma aj administrátor obmedzené práva.
8.) Nevyváženosť prístupových práv
Často ide o nesprávne priradenie užívateľom (administrátorské práva pre manažéra alebo účtovníčku sú zbytočnosťou) alebo nevhodnú segmentáciu LAN. Často ide napríklad o prístup obchodných partnerov do LAN cez VPN (virtual private network) kde po pripojení majú prístup do intranetu a často aj plné práva užívateľa v LAN.
Je vhodné definovať rôzne účty pre LAN a VPN prístup.
7.) Nesprávne zvolená správa IS
Častokrát s ohľadom na financie alebo rozhodnutia "z hora" dochádza k nevhodnému nasadeniu a postaveniu LAN a následne aj k správe. Tento bod sa z veľkej časti týka predosšlých a aj nasledujúcich bodov. Častokrát je to spôsobené aj výmenami administrátorov či používaní rôznych aplikácií tretích strán.
6.) Priveľa aplikácií tretích strán "nutných" k správe.
Pri správe LAN často administrátori používajú aplikácie od tretích strán (PCanywhere, VNC, TeamViewer a pod.) či utility na monitorovanie, ktoré nie sú overené či otestované pred nasadením v ostrej prevádzke. A následne sa potom povoľujú výnimky na uzloch siete či lokálnych staniciach.
5.) Používanie iba základných možností ochrany
Administrátori nemajú často chuť hľadať riešenia ochrany, alebo sa im nechce riešiť dané veci, pokiaľ to nebude nutné. Takže sa používa základná ochrana, antivírový program, antispam na mail, a na vhodných miestach firewall. Málo sa používajú systémy IPS (Intrusion Prevention System) a IDS (Intrusion Detection System) či monitorovanie aplikácií a sieťovej prevádzky externým zariadením alebo softvérom. Taktiež sa používajú aplikácie ktoré sa "osvedčili" v minulosti danému administrátorovi ale nemusia byť vhodné na použitie v danej konfigurácií.
4.) Nevhodné nasadenie antimalware a antivirusového riešenia
Využívanie komplexných riešení od jednej bezpečnostnej firmy nemusí byť to najvhodnejšie riešenie. Taktiež je nutné analyzovať aké procesy na danom mieste bežia a podľa toho nastaviť aj konfiguráciu alebo typ bezpečnostnej aplikácie. Určite nemá zmysel dávať komplexné riešenie na exchange server (moja skúsenosť MS Exchange 2003 s 230 mailboxami v kombinácií s ESET Smart Security 3). Menej je často viac a vhodnejšie.
3.) Rovnaké heslá pre viac prístupov
Viaceré prístupy s rovnakým heslom alebo rovnaké heslá pri prístupe na server (nie na zariadenia typu prepínač (Switch) alebo smerovač (router)). Týmto vzniká riziko prezradenia prístupových hesiel.
2.) Nesprávna konfigurácia smerovačov a prepínačov
Nepoužívanie filtrovania komunikácie (packet filtering) či portov nedelenie siete do segmentov. To sú len omrvinky ktoré je najčastejšie vidieť. Chýba na daných zariadeniach využívanie ACL či obmedzenie komunikácie na konkrétne servery a ich porty. Triviálne ale účinné riešenie
1.) Nezmenené východzie heslá v sieťových zariadeniach
Zistiť východzie heslá (Default passwords) je veľmi jednoduché ako som to uviedol v jednom starom blogu z 4.1.2008. Tieto heslá často ani nechcú meniť, dôvod je jednoduchý, sú v manuáloch alebo v priloženom letáku k zariadeniu. Tu neexistuje iná možnosť len to meniť na všetkých zariadeniach a optimálne je robiť to aspoň 1x do roka. Najznámejším prípadom je asi AT&T z roku 1993.
Takže aké je riešenie pre firmy, ktoré si niesú isté stavom LAN a jej bezpečnosti?
Dať si spraviť analýzu siete, odkonzultovať jej výsledky a následne zrealizovať zmeny. Pokiaľ má firma schopného IT manažéra mal by byť schopný danú analýzu spraviť aj sám s pomocou svojho týmu.
|